Justýna
» Podnikání
NEPODCEŇUJTE OCHRANU DAT VÁM SVĚŘENÝCH, ALE ANI TĚCH VLASTNÍCH!
Jistě jste už slyšeli o ochraně dat, přesněji o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů známého také pod označením „General Data Protection Regulation“, se zkratkou „GDPR“. Každého, kdo pracuje s daty, čeká s příchodem roku 2018 vcelku náročný a odpovědný úkol.
Oslovili jsme tedy Institut ochrany osobních údajů, z.ú., který vznikl v roce 2017 rozhodnutím 8 pracovníků z oblasti bezpečnosti a ochrany osobních údajů, legislativy, testování, projektového a risk managementu založit ústav, který by mohl hrát roli odborné autority v oblasti ochrany osobních údajů, aby nám problematiku přiblížil. Představíme vám ve stručnosti produkt, který může vaše starosti vyřešit.
Metodika EURO DPO
Jedním ze základních principů této metody je vytvoření a udržení maximální kompetence spojené s implementací nařízení GDPR na straně Správce osobních údajů, tedy u organizace (dotýká se i OSVČ), která implementuje opatření k dosažení souladu s nařízením Evropského parlamentu a Rady (EU) č. 2016 /679 ze dne 27. dubna 2016. Správce je z principu tohoto nařízení odpovědný za určení účelu zpracování osobních údajů a za dodržení maximální ochrany osobních údajů, komfortu a práv subjektu údajů. Jinými slovy dosažení souladu reálného stavu zpracování osobních údajů a nařízení GDPR. Tohoto souladu je třeba dosáhnout, je třeba jej udržovat a prokazovat po celou dobu fungování organizace či činnosti OSVČ.
Metodika EURO DPO
Základní EURO DPO je doporučena pro organizace, které mají jednodušší rozsah agendy zpracování osobních údajů. V principu se jedná o organizace, které nemají povinnost (a nebudou mít po 25. květnu 2018 povinnost) zřízení pozice Pověřence ochrany osobních údajů a nemají povinnost vtvořit Posouzení vlivu na ochranu osobních údajů, DPIA.
Asistovaná EURO DPO je doporučena pro malé a středně velké organizace, které zpracovávají systematicky osobní údaje nebo jich zpracovávají rozsáhlé množství. V principu se jedná o organizace, které mají povinnost (a budou mít po 25. květnu 2018 povinnost) zřízení pozice Pověřence ochrany osobních údajů a stejně tak mají povinnost vytvoření Posouzení vlivu na ochranu osobních údajů, DPIA. Ke správnému pochopení je si třeba vysvětlit proces dosažení souladu skutečného stavu zpracování s nařízením GDPR.
Prvním krokem EURO DPO je zmapování stavu, ve kterém se zpracování osobních údajů v organizaci nachází. Znamená to, že je třeba pojmenovat všechny účely, pro které jsou osobní údaje v organizaci zpracovávány. Zpracování osobních údajů bez legitimního a jasně vyjádřeného účelu není možné. K těmto účelům je pak třeba vyjmenovat (nejen rámcově, ale výčtem) všechny druhy osobních údajů, které se pro daný účel v organizaci zpracovávají, a to včetně kategorií subjektů údajů. Protože všechny osobní údaje v rámci svého účelu musí mít i určité „vlastnosti“, které jsou pro jejich zpracování požadovány, je třeba doložit plnění i těchto vlastností.
V rámci tohoto kroku je třeba pro každý účel zpracování doplnit ještě další náležitosti. Jsou jimi procesy (posloupnost činností), kterými se osobní údaje zpracovávají. Pečlivý a detailní popis procesů představuje jednu z možností, jak prokázat, že při zpracování osobních údajů je dodržena jejich ochrana. Součástí kroku je mapování jednotlivých činností na osobní data (případně jejich rozsah), které jsou pro danou činnost relevantní.
Další částí tohoto kroku je nalezení vazby na bezpečnostní dokumentaci, která popisuje sice řadu bezpečnostních záležitostí, ale zde bude nutná pouze z hlediska ochrany osobních údajů. Vazbou je myšlen popis toho, jak se v dané části procesu osobní údaje chrání a jak se kontroluje, že tato ochrana se provádí.
Poslední části popis všech aktiv. Slovo aktivum je technických výrazem, který zahrnuje všechny prostředky, které se na zpracování osobních údajů podílejí. Jsou jimi jak technické prostředky (Software - aplikace, Hardware - počítače, servery, síťové komunikační prostředky, úložiště dat stejně jako listinné dokumenty, jejich úložiště, jejich oběh a archivace a skartace atd.) a také osoby, které osobní údaje zpracovávají, a to z hlediska jejich chování v rámci bezpečnostních předpisů. Tento první krok se nazývá Vstupní analýzou.
Druhým krokem EURO DPO je mapování tako popsaného stavu na požadavky nařízení GDPR. Současně jsou navržena i některá opatření, která je třeba provést k tomu, aby vedla k dosažení souladu s nařízením GDPR.
Součástí tohoto druhého kroku je tzv. Analýza rizik. Tato analýza se zaměřuje na procesy zpracování, aktiva a bezpečnostní dokumentaci, resp. na rizika z aktuálního seznamu rizik, které se týkají upracování osobních údajů. Její výstupy přispívají k návrhu opatření, která je třeba provést k dosažení souladu.
Tato druhá část se souhrnně nazývá Srovnávací analýza a Analýza rizik je její součástí. Výstupem je návrh opatření k dosažení souladu. Tato opatření se mohou týkat oblasti dokumentace, kterou může být potřeba opravit / doplnit, procesů zpracování osobních údajů tak, aby se minimalizovala rizika, která se váží k jednotlivým činnostem zpracování, rozsahu zpracovávaných osobních údajů a použitým aktivům. Nařízení GDPR přepokládá mnohem větší práva pro subjekty údajů a naplnění těchto práv je třeba zahrnout do návrhu opatření.
Třetí krok EURO DPO nastupuje až po realizaci navržených nápravních opatření (nebo měl by následovat). Jedná s o Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA). Posouzení vlivu je třeba provést pro vybrané procesy (resp. pro některé účely zpracování osobních údajů) a to tam, kde zpracování splňuje určité znaky (bezpečnostní rizika). Výstupem je zpráva, na jejímž základě správce může rozhodnout, zda zpracování osobních údajů procesem, kterého se DPIA týká, je spojeno s akceptovatelnou mírou rizika, nebo zda popsaným způsobem není možné zpracování osobních údajů vůbec provádět.
Nástroj EURO DPO
Pro podporu EURO DPO bude sloužit webový nástroj EURO DPO. Bude určen jako podpora pro správce, který si všechny výše uvedené kroky provádí samostatně v rámci svých kompetencí.
Tento nástroj vychází z testovací metodiky ISTQB (International Software Testing Quality Board), která je aplikována na případ, kde testování neporovnává exaktní technické (obchodní) zadání se skutečným stavem, ale porovnává skutečný stav proti právnímu předpisu.
Výstupem bude protokol o provedeném testu souladu s nařízením GDPR a bude sloužit pro Správce osobních údajů jako podklad pro jeho hodnocení míry souladu s nařízením GDPR.
Závěr
Pro organizace, které odpovídající kompetenci pro oblast GDPR (zatím) nemají a budou jí chtít vybudovat, resp. budou chtít se dostat z hlediska zpracování osobních údajů do souladu s nařízením GDPR, bude možné si vyžádat asistenční podporu formou konzultace a / nebo i podpory při realizaci jednotlivých kroků. Rozsah konzultací bude individuální a bude odpovídat potřebám a aktuálním kompetencím příslušné organizace.
Tato asistovaná EURO DPO bude představovat sice mnohem náročnější řešení, na druhé straně pomůže organizaci vybudovat svojí vlastní kompetenci, kterou pro udržení souladu s nařízením GDPR bude potřebovat.